この記事では、Linux サーバーで WireGuard VPN をセットアップするプロセスを順を追って説明します。コーヒー ショップなどの安全でない場所から安全なインターネット リソースにアクセスできるようになります。

なぜ VPN なのか?なぜ WireGuard?

たとえば、銀行の Web サイトにリモートの場所から接続するときはいつでも、パスワードやその他の機密情報がネットワーク上で傍受されている人に公開される危険があります。

もちろん、銀行の Web サイト自体が暗号化されることを願っています。つまり、銀行と PC やスマートフォンの間を流れるキー データは、途中で聞いている人には読み取れません。

自宅やオフィスから接続している場合はどうでしょうか。 VPN を使用すると、通常の暗号化では隠されていなかったデータ要素が間違った人に見られないことを十分に確信できます。

しかし、空港やコーヒー ショップで公共の WiFi ルーターを介して接続している場合はどうでしょうか。ネットワークが侵害されていないこと、または見過ごされているハッカーがいないことは確かですか?

この非常に現実的な脅威に対抗するために、ラップトップまたは電話で VPN サーバーへの接続を開くことができます。このようにして、すべてのデータ転送が仮想トンネルを介して行われます。機密性の高い接続のすべての部分は、接続元のローカル ネットワーク上の誰からも見えなくなります。

WireGuard は、オープン ソース VPN の世界で最も新しい 3 つの主要企業であり、残りの 2 つは IPsec と OpenVPN です。

WireGuard は、他のものよりもシンプル、高速、柔軟になるように構築されています。それはブロックの新しい子供ですが、すぐに何人かの重要な友人を迎えました. Linux の作成者 Linus Torvalds 自身の勧めで、WireGuard は最近 Linux カーネルに組み込まれました。

VPN サーバーを構築する場所

もちろん、いつでも自宅に VPN サーバーを設置し、ISP のルーターを介してポート転送を構成できます。しかし、多くの場合、クラウドで実行する方がより実用的です。

心配しないで。この方法は、迅速で手間のかからない「設定して忘れる」構成にはるかに近いことを保証します。また、自宅で構築するものはすべて、AWS などの大手クラウド プロバイダーが提供するインフラストラクチャほど信頼性が高く、安全である可能性はほとんどありません。

ただし、専門的に保護されたインターネットサーバーが家の周りにある場合 (または、予備の Raspberry Pi が転がっている可能性がある場合) は、ほぼ同じように機能します。

WireGuard のおかげで、クラウドでも物理サーバーでも、独自のホーム VPN を簡単に作成できます.セットアップ全体は 30 分で完了します。

準備中

おそらくこちらのチュートリアルを使用して、クラウド インスタンスを起動して実行します。

ポート 51820 を確認してください サーバーに公開されています。これは、セキュリティ グループで行われます AWS と VPC ネットワーク ファイアウォール Google Cloud で。

最新の Debian/Ubuntu リリースでは、Wireguard は次のようにパッケージ マネージャーからインストールできます。

sudo apt install wireguard

または、EPEL リポジトリの yum を使用:

sudo yum install kmod-wireguard wireguard-tools

ステップ 1:暗号化キーを作成する

公開鍵と秘密鍵を含むファイルを作成するサーバー上の任意のディレクトリで、次のコマンドを使用します:

umask 077; wg genkey | tee privatekey | wg pubkey > publickey

別のディレクトリまたはローカル マシンで、クライアントに対して同じ操作を行います。後で異なるキー セットを区別できることを確認してください。

迅速なセットアップのために、オンライン キー ジェネレーターを使用できます。ただし、最初は手動で行うことをお勧めします。次のステップで使用するため、キー ハッシュを含むファイルが作成されていることを確認してください。

ステップ 2:サーバー構成を作成する

.conf を作成する必要があります /etc/wireguard ディレクトリのファイル。異なるポートを使用して、複数の VPN を同時に実行することもできます。

次のコードを新しいファイルに貼り付けます:

sudo nano /etc/wireguard/wg0.conf

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
# use the server PrivateKey
PrivateKey = GPAtRSECRETLONGPRIVATEKEYB0J/GDbNQg6V0s=

# you can have as many peers as you wish
# remember to replace the values below with the PublicKey of the peer

[Peer]
PublicKey = NwsVexamples4sBURwFl6HVchellou6o63r2B0s=
AllowedIPs = 10.0.0.2/32

[Peer]
PublicKey = NwsexampleNbw+s4sBnotFl6HrealxExu6o63r2B0s=
AllowedIPs = 10.0.0.3/32

VPN を起動

sudo systemctl start wg-quick@wg0

systemd がない場合 (インスタンスが Amazon Linux を実行している場合はそうかもしれません)、 sudo wg-quick up wg0 を使用できます .

ステップ 3:クライアント構成を作成する

最初にクライアント マシンに Wireguard をインストールします。Linux と同じ方法でインストールするか、Windows、macOS、Android、または iPhone を使用している場合はアプリ ストアからインストールします。

ステップ 1 でオンライン キー ジェネレーターまたは QR スクリプトを使用した場合は、QR コードの写真を撮って電話を接続できます。

WireGuard がクライアントにインストールされたら、次の値を使用して設定します:

# Replace the PrivateKey value with the one from your client interface
[Interface]
Address = 10.0.0.2/24
ListenPort = 51820
PrivateKey = CNNjIexAmple4A6NMkrDt4iyKeYD1BxSstzer49b8EI=

#use the VPN server's PublicKey and the Endpoint IP of the cloud instance
[Peer]
PublicKey = WbdIAnOTher1208Uwu9P17ckEYxI1OFAPZ8Ftu9kRQw=
AllowedIPs = 0.0.0.0/0
Endpoint = 34.69.57.99:51820

DNS や事前共有キーを指定してセキュリティを強化するなど、ユースケースに応じて必要になるオプションのアドオンが多数あります。

Linux を使用している場合はサーバーと同じ方法でクライアントを起動し、他のシステムではアプリケーション自体を使用して起動します。

VPN をテストする

ブラウザーに「my ip」と入力して、パブリック IP アドレスを検出します。取得した IP が、VPN を開始する前にコンピュータが持っていたアドレスと異なる場合は、成功です!

(以前のことを忘れた場合は、sudo systemctl stop wg-quick@wg0 を試してください 、チェックして再起動します。)

トラブルシューティング ガイド

サーバーが IP 転送用に構成されていることを確認してください。 /etc/sysctl.conf ファイルを確認するか、以下を実行してください:

echo 1 > /proc/sys/net/ipv4/ip_forward

あなたの接続は頻繁に切れますか？これをクライアント構成のピア セクションに追加します:

PersistentKeepalive = 25

なぜ機能しないのかわからない？ sudo tcpdump -i eth を試す クライアントを使用しようとしているときにサーバー上で.

このガイドをお読みいただきありがとうございます。

さらに詳しく知りたい場合は、WireGuard VPN で有料のマニング コースを受講することを検討してください。